Хакерские группировки, которые пользуются вирусами-шифровальщиками и вымогают у компаний миллионы долларов, получают 20—40% от суммы выкупа, пишут «Известия», ссылаясь на «Лабораторию Касперского». Компания проанализировала сообщения в даркнете хакерских группировок REvil и Babuk. Так, злоумышленников, стоящих за атаками, условно можно разделить на четыре большие группы.
Первая — разработчики вредоносного ПО. Они либо продают образцы своих инструментов операторам, либо предлагают их по подписке за долю от полученного выкупа. Вторые — ботмастеры, в их базах операторы могут найти устройства, потенциально пригодные для проникновения во внутренний периметр компании-жертвы. Третьи — продавцы доступа, они ищут уязвимые устройства, получают к ним доступ и перепродают инструменты входа четвертой группе — операторам. Они занимаются менеджментом атак: например, выбирают точку входа в организацию и запускают вредонос.
Объявления о наборе специалистов для проведения атаки, как правило, публикуются на страницах теневых форумов. Вознаграждением за работу может быть как фиксированная сумма, так и доля от «выручки». Например, образцы вредоносных программ или их исходные коды могут выставлять за 300—4 000 долларов. Если речь идет об «аренде» ВПО, то сумма может варьироваться от 120 долларов в месяц до 1 900 долларов в год. Когда вознаграждение партнеров определяется долей от выкупа, сами операторы оставляют себе меньшую часть. Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин отметил, что обычно операторы берут не более 30%. Но многое при подсчете этой доли зависит от функций, которые они выполняют.
Старший аналитик Positive Technologies Вадим Соловьев также назвал четыре категории специалистов, которые участвуют в атаках с использованием вирусов-вымогателей. Операторами аналитик назвал разработчиков вредоносного ПО. А партнерами — тех, кто занимается менеджментом: покупает доступы, ищет хакеров с нужной специализацией, ведет переговоры с жертвами. Другой группой, по версии Positive Technologies, выступают специалисты по взлому: они добывают наиболее привилегированный доступ в сетевой инфраструктуре жертвы. Четвертая группа — продавцы доступов. По словам Соловьева, операторы, партнеры и специалисты по взлому получают по 30%, а продавцы доступов — по 10%. Доля партнеров может быть увеличена до 50% за счет сокращения доли оператора (до 10%) и покупки доступа в сеть за фиксированную цену, пояснил эксперт.
Эксперты сходятся во мнении, что среди всего многообразия специалистов самыми дорогими участниками вымогательских операций оказываются пентестеры — специалисты, которые тестируют системы жертв на проникновение и находят уязвимости, позволяющие хакерам развернуть атаку на полную.
